Microsoft đã công bố một lỗ hổng zero-day nghiêm trọng trong SQL Server. Lỗ hổng này cho phép kẻ tấn công đã xác thực leo thang đặc quyền lên cấp quản trị cao nhất trên các hệ thống cơ sở dữ liệu bị ảnh hưởng.

Lỗ hổng được theo dõi với mã định danh CVE-2026-21262, chính thức được công bố vào ngày 10 tháng 3 năm 2026. Tình trạng công khai của lỗ hổng này đang gây ra những lo ngại cấp bách cho các tổ chức sử dụng SQL Server trong môi trường doanh nghiệp.

Phân tích Kỹ thuật Lỗ hổng Zero-day CVE-2026-21262

Lỗ hổng zero-day này xuất phát từ việc kiểm soát quyền truy cập không đúng cách (CWE-284) trong Microsoft SQL Server. Điều này cho phép kẻ tấn công được ủy quyền thực hiện leo thang đặc quyền qua mạng.

Theo cảnh báo của Microsoft, một kẻ tấn công nếu khai thác thành công lỗ hổng này có thể giành được đặc quyền SQL sysadmin. Đây là cấp độ truy cập cao nhất trong môi trường SQL Server, qua đó giành quyền kiểm soát hoàn toàn phiên bản cơ sở dữ liệu.

Mức độ Nghiêm trọng và Tác động CVSS

Lỗ hổng này mang điểm CVSS v3.1 cơ bản là 8.8, được phân loại là mức độ nghiêm trọng Quan trọng (Important). Vector tấn công dựa trên mạng, với độ phức tạp thấp, chỉ yêu cầu đặc quyền cấp thấp để khởi tạo và không cần tương tác người dùng.

Tác động của lỗ hổng bao trùm cả ba khía cạnh bảo mật quan trọng: bảo mật dữ liệu (confidentiality), tính toàn vẹn (integrity) và khả năng sẵn sàng (availability). Cả ba đều được đánh giá ở mức cao, làm cho lỗ hổng này trở nên đặc biệt nguy hiểm trong các môi trường nhạy cảm về dữ liệu.

Cơ chế Khai thác và Tình trạng Hiện tại

Một kẻ tấn công đã được xác thực với các quyền rõ ràng có thể khai thác lỗ hổng zero-day bằng cách đăng nhập vào phiên bản SQL Server. Sau đó, chúng lợi dụng lỗi kiểm soát quyền truy cập không đúng cách để leo thang phiên làm việc của mình lên cấp sysadmin.

Kiểu tấn công leo thang đặc quyền này đặc biệt nguy hiểm trong các môi trường cơ sở dữ liệu đa thuê hoặc chia sẻ. Trong những môi trường này, người dùng có đặc quyền thấp có thể đã có quyền truy cập hợp pháp.

Microsoft đã xác nhận rằng lỗ hổng CVE-2026-21262 đã được công khai nhưng chưa bị khai thác tích cực trong thực tế. Khả năng khai thác được đánh giá là “Exploitation Less Likely” (Khả năng khai thác thấp hơn).

Tuy nhiên, tình trạng công khai của lỗ hổng zero-day này làm giảm đáng kể rào cản cho các tác nhân đe dọa phát triển các công cụ khai thác hiệu quả. Xem chi tiết tại MSRC Advisory CVE-2026-21262.

Các Phiên bản SQL Server Bị Ảnh hưởng và Giải pháp Vá Lỗi

Microsoft đã phát hành các bản vá bảo mật cho SQL Server từ phiên bản 2016 đến SQL Server 2025 mới được phát hành. Các quản trị viên cần xác định phiên bản hiện tại của mình và áp dụng bản vá GDR hoặc Cumulative Update (CU) phù hợp.

Các phiên bản SQL Server được lưu trữ trên Windows Azure (IaaS) có thể nhận các bản cập nhật qua Microsoft Update hoặc tải xuống thủ công từ Trung tâm Tải xuống của Microsoft.

Khuyến nghị và Biện pháp Giảm thiểu Rủi ro

Các đội bảo mật nên ưu tiên vá lỗi ngay lập tức, đặc biệt khi lỗ hổng zero-day này đã được công khai. Các tổ chức cần kiểm tra quyền người dùng SQL Server, chỉ giới hạn các đặc quyền rõ ràng cho các tài khoản đáng tin cậy.

Đồng thời, cần giám sát chặt chẽ các hoạt động leo thang đặc quyền bất thường trong nhật ký cơ sở dữ liệu. Điều này giúp phát hiện và ngăn chặn các cuộc tấn công chiếm quyền điều khiển.

Các phiên bản SQL Server không còn được Microsoft hỗ trợ nên được nâng cấp lên bản phát hành được hỗ trợ. Việc này nhằm mục đích nhận được bản vá bảo mật này và các bản vá trong tương lai.